Politique de confidentialité RGPD
Date de dernière mise à jour : 31 mars 2026
1. Introduction
Polsia Inc. (ci-après « nous », « notre », « Doxilio ») accorde une importance particulière à la protection de vos données personnelles. La présente politique de confidentialité vous informe de la manière dont nous collectons, utilisons, stockons et protégeons vos données dans le cadre de l'utilisation du service Doxilio, conformément au Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Responsable du traitement :
Polsia Inc.
Société de droit américain (Delaware, États-Unis)
Email : dpo@polsia.com
2. Données personnelles collectées
Dans le cadre de l'utilisation de Doxilio, nous collectons les catégories de données personnelles suivantes :
| Catégorie de données | Exemples | Base légale |
|---|---|---|
| Données d'identification | Nom, prénom, email, mot de passe (hashé), numéro de téléphone | Exécution du contrat |
| Données professionnelles | Nom de l'entreprise, SIRET, adresse professionnelle, secteur d'activité, numéro de TVA | Exécution du contrat |
| Données de facturation | Factures, devis, montants, dates, références clients | Exécution du contrat + Obligations légales (conservation comptable) |
| Données de contacts clients | Nom, email, téléphone, adresse des clients de l'utilisateur | Exécution du contrat (gestion administrative) |
| Données de connexion | Adresse IP, logs de connexion, cookies de session | Intérêt légitime (sécurité du service) |
| Données d'utilisation | Historique d'utilisation, pages consultées, fonctionnalités utilisées | Intérêt légitime (amélioration du service) |
| Données de paiement | Informations de paiement traitées via Stripe (non stockées directement par Doxilio) | Exécution du contrat |
3. Finalités du traitement
Nous utilisons vos données personnelles pour les finalités suivantes :
- Fourniture du service : Créer et gérer votre compte, générer des devis et factures, envoyer des relances automatiques, gérer vos contacts clients
- Gestion administrative et comptable : Facturation, recouvrement, respect des obligations comptables
- Amélioration du service : Analyse de l'utilisation, statistiques anonymisées, développement de nouvelles fonctionnalités
- Sécurité et prévention des fraudes : Détection des comportements suspects, protection contre les accès non autorisés
- Communication : Envoi d'emails transactionnels (confirmations, notifications), support client
- Conformité légale : Respect des obligations légales (conservation des factures pendant 10 ans, coopération avec les autorités)
4. Base légale du traitement
Conformément à l'article 6 du RGPD, les traitements de données personnelles reposent sur les bases légales suivantes :
- Exécution du contrat : Le traitement est nécessaire à l'exécution du contrat vous liant à Doxilio (article 6.1.b)
- Obligations légales : Certains traitements sont nécessaires pour respecter des obligations légales, notamment la conservation des factures (article 6.1.c)
- Intérêt légitime : Certains traitements reposent sur notre intérêt légitime à assurer la sécurité et l'amélioration du service (article 6.1.f)
- Consentement : Pour les traitements non nécessaires à la fourniture du service (ex : newsletter marketing), votre consentement explicite sera recueilli (article 6.1.a)
5. Destinataires des données
Vos données personnelles sont accessibles uniquement aux personnes et entités suivantes :
5.1. Personnel autorisé de Polsia Inc.
Les salariés et sous-traitants de Polsia Inc. ayant besoin d'accéder aux données pour assurer le fonctionnement, la maintenance et le support du service.
5.2. Sous-traitants techniques
- Render Services Inc. (hébergement web, États-Unis/Europe)
- Neon Database (hébergement base de données, Europe/États-Unis)
- Stripe Inc. (traitement sécurisé des paiements par carte bancaire)
- Anthropic PBC (traitement IA pour génération de documents et relances automatiques)
Ces prestataires agissent en qualité de sous-traitants au sens du RGPD et sont soumis à des obligations contractuelles strictes de sécurité et de confidentialité.
5.3. Autorités légales
En cas de réquisition judiciaire ou administrative, nous pouvons être amenés à communiquer des données personnelles aux autorités compétentes.
6. Transferts de données hors UE
Certains de nos sous-traitants (Render, Stripe, Anthropic) sont basés aux États-Unis. Les transferts de données personnelles hors de l'Espace Économique Européen (EEE) sont encadrés par les mécanismes juridiques suivants, conformément au Chapitre V du RGPD :
Nota bene : Le Privacy Shield EU-États-Unis a été invalidé par la Cour de Justice de l'Union Européenne (arrêt Schrems II, C-311/18, 16 juillet 2020) et ne constitue plus une base légale valide pour les transferts de données vers les États-Unis.
-
EU-US Data Privacy Framework (DPF) : décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision UE 2023/1795) pour les sous-traitants américains certifiés DPF.
- Stripe Inc. — certifié DPF (traitement des paiements)
- Anthropic PBC — Clauses Contractuelles Types (CCT) version 2021 adoptées par décision d'exécution (UE) 2021/914
-
Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914) pour les sous-traitants non couverts par le DPF :
- Render Services Inc. — CCT pour le transfert vers des pays tiers
- Neon Database — CCT (hébergement EU préféré si disponible)
- Mesures techniques complémentaires : chiffrement des données en transit (TLS 1.3) et au repos, pseudonymisation des données d'analyse, minimisation des données transmises aux sous-traitants.
Nous veillons à ce que tout transfert hors EEE repose sur un mécanisme juridique valide et que vos données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne. Vous pouvez obtenir une copie des garanties applicables en nous contactant à dpo@polsia.com.
7. Durée de conservation des données
Nous conservons vos données personnelles pendant les durées suivantes :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte actif | Pendant toute la durée d'utilisation du service | Exécution du contrat |
| Factures et devis | 10 ans après clôture de l'exercice comptable | Obligation légale (article L.123-22 du Code de commerce) |
| Données de compte supprimé | 30 jours après suppression du compte | Délai de rétractation, récupération en cas d'erreur |
| Logs de connexion | 12 mois | Obligation légale (LCEN, article 6-II) |
| Données de paiement | 13 mois (carte bancaire, via Stripe uniquement) | Gestion des litiges et contestations |
| Données de prospects (non-clients) | 3 ans à compter du dernier contact | Intérêt légitime (prospection commerciale) |
À l'issue de ces durées, vos données sont supprimées de manière sécurisée et irréversible.
8. Sécurité des données
Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données contre :
- L'accès non autorisé
- La divulgation, l'altération ou la destruction accidentelle ou illicite
- La perte ou le vol de données
Ces mesures incluent notamment :
- Chiffrement des données : Toutes les communications sont chiffrées via HTTPS (TLS 1.3). Les mots de passe sont hashés avec bcrypt.
- Sauvegardes régulières : Sauvegardes quotidiennes automatiques avec conservation sur 30 jours
- Authentification sécurisée : Politique de mots de passe renforcée, sessions sécurisées
- Contrôle d'accès : Accès limité aux seules personnes autorisées
- Surveillance et audit : Monitoring des accès et des incidents de sécurité
9. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
9.1. Droit d'accès (article 15)
Vous pouvez demander à accéder à l'ensemble de vos données personnelles traitées par Doxilio.
9.2. Droit de rectification (article 16)
Vous pouvez demander la correction de vos données inexactes ou incomplètes directement depuis votre compte ou en nous contactant.
9.3. Droit à l'effacement / « droit à l'oubli » (article 17)
Vous pouvez demander la suppression de vos données, sous réserve des obligations légales de conservation (par exemple, les factures doivent être conservées 10 ans).
9.4. Droit à la limitation du traitement (article 18)
Vous pouvez demander la suspension temporaire du traitement de vos données dans certains cas (contestation de l'exactitude, opposition au traitement).
9.5. Droit à la portabilité (article 20)
Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) pour les transférer à un autre service.
9.6. Droit d'opposition (article 21)
Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes, notamment pour les traitements reposant sur l'intérêt légitime (prospection commerciale, statistiques).
9.7. Droit de retirer votre consentement (article 7)
Si un traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
9.8. Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés)
Vous pouvez définir des directives relatives au sort de vos données après votre décès.
10. Exercer vos droits
Pour exercer vos droits, vous pouvez :
- Accéder aux paramètres de votre compte sur doxilio.polsia.app
- Envoyer un email à notre Délégué à la Protection des Données (DPO) : dpo@polsia.com
Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai maximum de 1 mois à compter de la réception de votre demande. Ce délai peut être prolongé de 2 mois en cas de complexité ou de volume élevé de demandes.
Justificatif d'identité : Afin de garantir la sécurité de vos données, nous pourrons vous demander de fournir une copie d'une pièce d'identité pour traiter votre demande.
11. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
12. Cookies et traceurs
Doxilio utilise uniquement les cookies suivants :
- Cookie de session (connect.sid) : Authentification et maintien de session utilisateur. Ce cookie est strictement nécessaire au fonctionnement du service ; sans lui, l'utilisateur ne peut pas rester connecté. Durée : 30 jours. Aucun consentement préalable requis (article 82 de la loi Informatique et Libertés, guidelines CNIL sur les cookies exemptés).
-
Cookie d'analyse de fréquentation (polsia_vid) : Ce cookie est utilisé exclusivement pour mesurer la fréquentation du service (comptage de visiteurs uniques). Il bénéficie de l'exemption de consentement prévue par la délibération CNIL n° 2020-091 du 17 septembre 2020 sous réserve du respect des conditions cumulatives suivantes, que Doxilio respecte :
- Finalité strictement limitée à la mesure d'audience interne (pas de finalité publicitaire)
- Données non recoupées avec d'autres traitements ni transmises à des tiers
- Données utilisées pour la production de statistiques anonymes uniquement
- Cookie limité à un sous-domaine Doxilio (pas de tracking inter-sites)
- Durée de vie limitée à 13 mois maximum
- Information des utilisateurs dans la présente politique
Aucun cookie publicitaire ou de traçage tiers n'est utilisé.
Vous pouvez configurer votre navigateur pour bloquer les cookies, mais cela peut affecter le fonctionnement de l'application (impossibilité de rester connecté). Pour le cookie de session, le blocage empêche toute utilisation du service.
13. Utilisation de l'intelligence artificielle
Doxilio utilise des modèles d'intelligence artificielle (fournis par Anthropic) pour générer automatiquement :
- Des devis et factures à partir de descriptions en langage naturel
- Des messages de relance personnalisés
- Des attestations fiscales conformes à la réglementation
Garanties :
- Les données traitées par l'IA ne sont pas utilisées pour entraîner les modèles (conformément à la politique d'Anthropic)
- Les données sont traitées de manière temporaire et ne sont pas stockées par le prestataire IA au-delà du traitement
- L'utilisateur reste responsable de la vérification et de la validation des documents générés avant envoi à ses clients
14. Mineurs
Le service Doxilio est destiné aux professionnels et n'est pas destiné aux mineurs de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous avez connaissance qu'un mineur a créé un compte, merci de nous contacter immédiatement.
15. Modifications de la politique de confidentialité
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment pour refléter les évolutions réglementaires, technologiques ou de notre service.
En cas de modification substantielle, nous vous informerons par email ou via une notification dans l'application au moins 30 jours avant l'entrée en vigueur des changements.
La version en vigueur est toujours accessible sur doxilio.polsia.app/politique-rgpd.html.
16. Contact du Délégué à la Protection des Données (DPO)
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :
Délégué à la Protection des Données (DPO)
Polsia Inc. (société de droit américain, Delaware, États-Unis)
Email : dpo@polsia.com